Organisation und Technik bei bwin

Internationale Vernetzung

bwin ist zudem Gründungsmitglied des Branchenverbands EGBA (European Gaming und Betting Association). Die EGBA unterhält ein Player Protection Framework, die "EGBA Standards". Ein Teil der Standards hat einen technischen Fokus und zielt auf den Schutz von Kundendaten über die gesamte Wertschöpfungskette ab - "EGBA members will ensure that the privacy and confidentiality of all customer information submitted at any point in time is maintained and remains protected from unauthorised or unnecessary disclosure."

Diese Vorgaben sind auch notwendig, um den statistischen Auswertungen bei der Betrugsprävention einen Verpflichtungsrahmen entgegenzusetzen. Konkrete Aktionen, die sich aus den Vorgaben der EGBA bei bwin ableiten lassen, sind der Schutz vor unberechtigten Zugriff auf User- und Transaktionsdaten, die Notwendigkeit einer verschriftlichten (und implementierten) Sicherheitspolicy, stringente Vertraulichkeitsklassifikationen von Dokumenten und ein verpflichtendes Backup aller relevanten Daten. Für Interessierte sind die EGBA-Standards auf deren Webseite verfügbar (http://www.eu-ba.org).

"Zudem fühlen wir uns den eCOGRA General Accepted Practices verpflichtet, ein Industriestandard der unabhängigen Prüfstelle eCOGRA, der ebenfalls technische Sicherheitsvorschriften beinhaltet", teilt Falchetto mit. Auch diese Regelungen gehen ziemlich ins Detail, z.B. Vorgaben zur Domain-Konfigurationseinstellungen, User Access Right Managements wie auch die verpflichtende Führung von Sicherheitsreports. Die sogenannten eCOGRA-GAP sind ebenfalls verfügbar (www.ecogra.org). eCOGRA steht übrigens für "e-Commerce Online Gambling Regulation and Assurance" und gilt international als Standard für die Branche.

Jährliche Auditierung

Gemäß den Angaben von Falchetto wird bwin auf beide Standards jährlich auditiert. Das Audit besteht aus einem on-Site Review, der im konkreten Fall acht Tage dauert. Hinzu kommt eine "Remote"-Überprüfung des Online-Auftritts. bwin verfügt überdies über einen eigenen Security-Standard, der sich eng an ISO27001 orientiert. Die eigene Payment-Tochter "CQR" besitzt die Zertifizierung nach ISO27001 für den Aufbau eines "Information Security Management Systems" (ISMS), welches sicherheitsrelevante Unternehmensprozesse darstellt und deren Dokumentation nachvollziehbar macht.

Neben den technischen Vorgaben ist auch das rechtliche Rahmenwerk, die sogenannten "Regulatory und Legal Compliance"-Regeln bei bwin bedeutend: "Als weltweit agierendes Unternehmen sehen wir uns einer Vielzahl verschiedener Regularien, Gesetzen und Standards ausgesetzt, mit denen wir übereinstimmend sein müssen, welche wir jedoch in der Regel durch noch strengere Selbstauflagen übererfüllen. Eine Vereinheitlichung der Regelwerke würde uns in unseren Geschäftsprozessen sehr entgegenkommen. Wir bringen uns daher proaktiv bei der Ausarbeitung überregional wirksamer Sicherheitsstandards ein. In unseren im Branchenvergleich sehr hohen Sicherheitsstandards sehen wir allerdings auch eine unserer Stärken, die es uns ermöglicht, in einem multi-regulierten Umfeld erfolgreich zu agieren", schließt Falchetto im Interview.